Aviso de seguridad de Debian
DSA-4240-1 php7.0 -- actualización de seguridad
- Fecha del informe:
- 5 de jul de 2018
- Paquetes afectados:
- php7.0
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-7584, CVE-2018-10545, CVE-2018-10546, CVE-2018-10547, CVE-2018-10548, CVE-2018-10549.
- Información adicional:
-
Se encontraron varias vulnerabilidades en PHP, un lenguaje de programación de scripts de propósito general y de código abierto ampliamente utilizado:
- CVE-2018-7584
Lectura de memoria fuera de límites («buffer underread») al analizar sintácticamente respuestas HTTP.
- CVE-2018-10545
Los procesos hijos FPM cuyo indicador «dumpable» está activo permitían la elusión de controles de acceso a opcache.
- CVE-2018-10546
Denegación de servicio por bucle infinito en filtro de transmisiones («stream») convert.iconv.
- CVE-2018-10547
La corrección para CVE-2018-5712 (publicada en DSA 4080) era incompleta.
- CVE-2018-10548
Denegación de servicio mediante respuestas de servidor LDAP mal construidas.
- CVE-2018-10549
Lectura fuera de límites al analizar sintácticamente ficheros JPEG mal construidos.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 7.0.30-0+deb9u1.
Le recomendamos que actualice los paquetes de php7.0.
Para información detallada sobre el estado de seguridad de php7.0 consulte su página del «security tracker» en: https://security-tracker.debian.org/tracker/php7.0
- CVE-2018-7584